Агент фильтра подключений является агентом защиты от нежелательной почты, который включен на компьютерах с установленной ролью пограничного транспортного сервера Microsoft Exchange Server 2007. Агент фильтра подключений использует IP-адрес удаленного сервера, который пытается выполнить соединение, чтобы определить, какое действие выполнить (и нужно ли выполнить) с входящим сообщением. Удаленный IP-адрес доступен агенту фильтра подключений как побочный продукт используемого TCP/IP-соединения, которое требуется для SMTP-сеанса. Поскольку агент фильтра подключений должен оценить IP-адрес удаленного сервера, который отсылает обрабатываемое сообщение, агент фильтра подключений, как правило, включен на сервере «Граничный транспорт», имеющем выход в Интернет. Однако можно дополнительно настроить параметры таким образом, чтобы агент фильтра подключений применялся в середине цепи обработки входящих сообщений.
Если настроены агенты защиты от нежелательной почты на сервере «Граничный транспорт», эти агенты последовательно обрабатывают сообщения, что позволяет сократить объем нежелательной почты, поступающей в организацию. Чтобы снизить избыточность и повысить общее быстродействие и эффективность системы, необходимо понять порядок, в котором агенты обрабатывают входящие сообщения. Эти знания помогут оптимизировать настройку серверов «Граничный транспорт». Дополнительные сведения о планировании и развертывании агентов защиты от нежелательной почты см. в разделе Функции защиты от нежелательной почты и вирусов.
Если агент фильтра подключений включен, он выступает в роли первого агента защиты от нежелательной почты, который обрабатывает входящее сообщение.
Когда входящее сообщение поступает на сервер «Граничный транспорт» с включенным агентом фильтра подключений, исходный IP-адрес данного SMTP-подключения проверяется на наличие в списках разрешенных IP-адресов и в списках заблокированных IP-адресов. Если исходный IP-адрес включен в список разрешенных IP-адресов, сообщение отправляется по адресу назначения без последующей обработки остальными агентами защиты от нежелательных сообщений. Если исходный IP-адрес включен в список заблокированных IP-адресов, данное SMTP-подключение разрывается после обработки всех заголовков RCPT TO в сообщении.
Примечание. |
---|
Время разрыва конкретного соединения зависит от параметров настройки остальных компонентов системы защиты от нежелательных сообщений. Например, можно указать, какие получатели должны всегда получать сообщения электронной почты, даже если исходный IP-адрес заблокирован. Кроме того, можно настроить другие агенты, действия которых основаны на разборе содержимого, получаемого с помощью команды DATA. Агент фильтра подключений всегда разрывает заблокированные подключения в соответствии с общей настройкой параметров защиты от нежелательной почты. |
Если исходный IP-адрес не указан в списке разрешенных IP-адресов или в списке заблокированных IP-адресов, сообщение продвигается дальше по цепочке обработки агентами защиты от нежелательной почты (если эти агенты включены).
Дополнительные сведения о настройке агента фильтра подключений см. в разделе Настройка фильтрации подключения.
Списки заблокированных IP-адресов и списки разрешенных IP-адресов
Агент фильтра подключений сравнивает IP-адрес сервера, с которого поступило сообщение, с данными из следующих источников:
- формируемые администратором списки заблокированных IP-адресов и
списки разрешенных IP-адресов;
- поставщики списка заблокированных IP-адресов;
- поставщики списка разрешенных IP-адресов.
Дополнительные сведения о поставщиках списков заблокированных IP-адресов см. в подразделе «Поставщики списков заблокированных IP-адресов» далее в этом разделе.
Чтобы агент фильтра подключений мог действовать, необходимо создать, по крайней мере, один такой источник данных об IP-адресах. Если эти источники не содержат IP-адреса, включенные в списки разрешенных IP-адресов или списки заблокированных IP-адресов, или не настроены поставщики списков заблокированных IP-адресов или разрешенных IP-адресов, следует отключить агент фильтра подключений.
Формируемые администратором списки заблокированных IP-адресов и списки разрешенных IP-адресов
Администраторы серверов «Граничный транспорт» сопровождают определяемые администраторами списки IP-адресов. Можно вводить и удалять IP-адреса, которые следует разрешить или заблокировать, с помощью консоли управления Exchange или среды управления Exchange. IP-адреса можно добавлять в виде отдельных IP-адресов, диапазонов IP-адресов или в виде IP-адреса и маски подсети.
При добавлении IP-адреса или диапазона IP-адресов необходимо занести этот IP-адрес или диапазон IP-адресов в список заблокированных IP-адресов или список разрешенных IP-адресов. Кроме того, можно указать срок действия для каждой создаваемой записи в списке заблокированных IP-адресов. Если задан срок действия, этот срок указывает, сколько будет действовать данная запись списка заблокированных IP-адресов. По истечении срока действия запись в списке заблокированных IP-адресов отключается.
Используя формируемые администратором списки разрешенных IP-адресов и списки заблокированных IP-адресов, можно настраивать фильтрацию подключений для поддержки следующих сценариев.
- Исключение IP-адресов из списков заблокированных
IP-адресов поставщиков списков заблокированных
IP-адресов — может понадобиться исключить IP-адреса
из списков заблокированных IP-адресов поставщиков списков
заблокированных IP-адресов, если в них случайно попали обычные
пользователи. Например, пользователь может быть случайно занесен в
список заблокированных IP-адресов, если SMTP-сервер был
непреднамеренно настроен для работы в качестве открытого
ретранслятора. В данном сценарии отправитель, вероятно, попробует
исправить сделанную ошибку и исключить свой IP-адрес из списков
заблокированных IP-адресов поставщика.
Дополнительные сведения о поставщиках списков заблокированных IP-адресов см. в подразделе «Поставщики списков заблокированных IP-адресов» далее в этом разделе.
- Запрет доступа с IP-адресов, которые являются источником
нежелательной почты, однако не включены в списки заблокированных
IP-адресов поставщиков таких списков — иногда может
поступать значительное количество нежелательных сообщений из
источника, который еще не идентифицирован службой списка
блокировки в реальном времени, на которую подписана
компания.
Поставщики списка заблокированных IP-адресов
Службы поставщиков списка заблокированных IP-адресов могут помочь в решении задачи, связанной с сокращением числа нежелательных почтовых сообщений, поступающих в организацию.
Примечание. |
---|
Службы поставщиков списка заблокированных IP-адресов часто называют службами списка блокировки в режиме реального времени. В консоли управления Exchange они называются службами поставщиков списков заблокированных IP-адресов. Термины «службы списка блокировки в режиме реального времени» и «службы поставщиков списка заблокированных IP-адресов» эквивалентны. |
Службы поставщиков списка заблокированных IP-адресов составляют списки IP-адресов, с которых в прошлом отправлялась нежелательная почта. Кроме того, некоторые поставщики списка заблокированных IP-адресов предоставляют списки IP-адресов, для которых протокол SMTP настроен на открытую ретрансляцию. Также существуют службы поставщиков списка заблокированных IP-адресов, которые предоставляют списки IP-адресов, поддерживающих доступ через удаленное подключение. Поставщики услуг Интернета, которые предоставляют своим клиентам услуги удаленного доступа, назначают динамические IP-адреса для каждого сеанса удаленного подключения. Некоторые поставщики услуг Интернета блокируют SMTP-трафик с учетных записей удаленного доступа. Такие поставщики и соответствующие диапазоны IP-адресов, как правило, не добавляются в списки заблокированных IP-адресов. Однако ряд поставщиков услуг Интернета позволяет клиентам отправлять SMTP-трафик с таких учетных записей. Злонамеренный пользователь может воспользоваться этой возможностью для отправки нежелательной почты с динамически назначаемых IP-адресов. Если IP-адрес включен в список заблокированных IP-адресов, злонамеренные пользователи начинают новый сеанс удаленного подключения и получают новый IP-адрес. Зачастую один поставщик списка заблокированных адресов может предоставить список IP-адресов, в котором учтены все эти угрозы со стороны отправителей нежелательной почты.
Можно настроить несколько конфигураций поставщиков списков заблокированных IP-адресов с помощью консоли управления Exchange или среды управления Exchange. Для каждой из таких служб требуется отдельная настройка поставщика списков заблокированных IP-адресов в консоли управления Exchange или среде управления Exchange.
Если настройка агента фильтра подключений предусматривает использование поставщика списка заблокированных IP-адресов, перед принятием сообщения в организацию агент фильтра подключений запрашивает службу поставщика списка заблокированных IP-адресов, чтобы определить, имеется ли совпадение с подключающимися IP-адресами.
Перед тем, как агент фильтра подключений установит связь с поставщиком списка заблокированных IP-адресов, IP-адрес сравнивается с определяемым администратором списком разрешенных IP-адресов и списком заблокированных IP-адресов. Если IP-адрес отсутствует в определяемом администратором списке разрешенных IP-адресов или заблокированных IP-адресов, агент фильтра подключений запрашивает службы поставщиков списка заблокированных IP-адресов в соответствии с приоритетом, назначенным для каждого из поставщиков. Если IP-адрес присутствует в списке заблокированных IP-адресов поставщика списка заблокированных IP-адресов, сервер «Граничный транспорт» ожидает заголовок RCPT TO и разбирает его, направляет системе-отправителю ошибку SMTP 550 и закрывает подключение. Если IP-адрес отсутствует в списках заблокированных IP-адресов всех поставщиков списка заблокированных IP-адресов, подключение обрабатывается следующим агентом в цепи защиты от нежелательных сообщений. Дополнительные сведения о порядке фильтрации стандартными средствами защиты входящих сообщений из Интернета от нежелательной почты см. в разделе Функции защиты от нежелательной почты и вирусов.
При использовании агента фильтра подключений рекомендуется для управления доступом в организацию использовать одного или нескольких поставщиков списка заблокированных IP-адресов. Использование формируемого администратором списка заблокированных адресов для сопровождения собственного списка заблокированных IP-адресов — очень трудоемкий процесс, который недоступен в большинстве организаций в связи с нехваткой сотрудников. Поэтому настоятельно рекомендуется использовать внешнюю службу поставщиков списка заблокированных IP-адресов, для которой это основное направление работы.
Однако такой подход может иметь ряд отрицательных аспектов. Так как агент фильтра подключений должен опрашивать внешний объект при появлении каждого неизвестного IP-адреса, задержки в работе службы поставщиков списка заблокированных IP-адресов могут привести к задержкам в обработке сообщений на сервере «Граничный транспорт». В худшем случае такие задержки могут вызвать «пробку» при обработке потока почты на сервере «Граничный транспорт».
Еще один отрицательный аспект использования внешней службы поставщиков списка заблокированных IP-адресов заключается в том, что в список заблокированных IP-адресов, формируемый поставщиками, иногда ошибочно добавляются обычные отправители. Надежные отправители могут быть добавлены в списки заблокированных IP-адресов, формируемые поставщиком списка заблокированных IP-адресов, из-за неправильной настройки протокола SMTP. В качестве примера неправильной настройки можно рассмотреть ситуацию, когда SMTP-сервер непреднамеренно настраивается для работы в качестве открытого ретранслятора.
Дополнительные сведения о поставщиках списка заблокированных IP-адресов см. в статье Real-time Spam Black Lists (RBL) (Списки блокировки нежелательной почты в режиме реального времени).
Примечание. |
---|
Сведения о веб-узлах сторонних компаний в этом разделе предоставлены для упрощения поиска необходимых технических данных. URL-адреса могут быть изменены без предварительного уведомления. |
Поставщики списка разрешенных IP-адресов
Входящие сообщения можно также обрабатывать с использованием служб поставщиков списка разрешенных IP-адресов, которые предоставляют списки разрешенных IP-адресов. Списки разрешенных IP-адресов иногда называются списками надежных IP-адресов или «белыми» списками. Поставщики списка разрешенных IP-адресов формируют списки IP-адресов, которые однозначно не выступают в качестве отправителей нежелательной почты. Если поставщик списка разрешенных IP-адресов возвращает сообщение о совпадении со списком разрешенных IP-адресов, которое означает, что IP-адрес данного отправителя, скорее всего, принадлежит надежному или «безопасному» отправителю, агент фильтра подключений направляет сообщение следующему агенту в цепи обеспечения защиты от нежелательной почты.
Сведения о настройке поставщиков списка разрешенных IP-адресов см. в разделе Настройка фильтрации подключения.
Дополнительные сведения
Дополнительные сведения о настройке фильтрации подключений с помощью консоли управления Exchange см. в следующих разделах:
- Настройка
фильтрации подключения
- Инструкции
по включению фильтрации подключений
- Инструкции
по добавлению IP-адресов в список разрешенных IP-адресов или список
заблокированных IP-адресов
- Инструкции
по настройке поставщиков списка разрешенных IP-адресов и
поставщиков списка заблокированных IP-адресов.
Дополнительные сведения о настройке фильтрации подключений с помощью среды управления Exchange см. в разделе Командлеты агента фильтра подключений.